Em poucos anos, memorizar senhas pode ser apenas uma lembrança. Veja como e porquê neste artigo.
Se ultimamente tem prestado atenção à segurança cibernética, provavelmente já ouviu falar de passkeys. O Google já as está a lançar e elas podem estar prestes a mudar a forma como protegemos a Internet. Mas o que são exatamente as passkeys? E são melhores do que os inícios de sessão com palavras-passe que usamos há décadas?
O que é uma passkey?
As passkeys visam eliminar os inícios de sessão com palavras-passe para evitar os seus pontos fracos (falaremos disso mais tarde). Em vez disso, um autenticador como um porta-chaves do sistema operativo do seu telemóvel ou um gestor de palavras-passe separado gera um par de chaves criptográficas que lhe garante o acesso a outras aplicações e Web sites. Claro que ainda terá de verificar a sua identidade através do autenticador, o que provavelmente significa uma palavra-passe principal, reconhecimento facial ou impressão digital opcional para acelerar as coisas.
Um aspeto importante do conceito de passkey é a portabilidade. É potencialmente muito simples sincronizar as passkeys entre os seus dispositivos, desde que tenha a palavra-passe principal para desbloquear as coisas.
Como funciona uma passkey?
Quando ativa as passkeys dentro de uma aplicação ou Web site compatível, o seu autenticador cria um conjunto de chaves criptográficas públicas e privadas. Para uma autenticação segura, essas chaves são trocadas, encriptando o tráfego em relação ao mundo exterior.
As chaves públicas são chamadas assim porque são armazenadas em servidores associados a uma aplicação ou Web site. Um hacker pode hipoteticamente violar um servidor e roubar a sua chave, mas sem a sua palavra-passe principal e a sua chave privada, é absolutamente inútil.
As chaves privadas são sempre guardadas localmente nos seus dispositivos e fornecidas aos servidores apenas quando algo requer credenciais. Tem de verificar a sua identidade para que o processo seja concluído. Tenha em atenção que um servidor não necessita dos detalhes completos de uma chave privada, pois existe uma ligação matemática com o seu equivalente público.
Passkeys e palavras-passe: qual é mais segura?
As passkeys são geralmente mais seguras, uma vez que as palavras-passe têm de ser inevitavelmente armazenadas numa base de dados remota. Embora muitas empresas tenham defesas, um hacker experiente pode potencialmente violá-las e todos os inícios de sessão que encontram são imediatamente úteis se não forem suportados por verificação em duas etapas (2SV). A situação agrava-se quando as pessoas reutilizam as palavras-passe com demasiada frequência: os hackers podem não ter de se preocupar com outros servidores se a mesma palavra-passe funcionar em todo o lado.
A natureza humana pode derrotar as palavras-passe de outras formas. Muitas vezes não pensamos nelas o suficiente, tornando-as fáceis de adivinhar ou de força bruta através de tentativas repetidas. Por vezes, partilhamo-las com pessoas que não devíamos, por exemplo, quando caímos em esquemas de phishing.
As passkeys não são invencíveis, claro. Se alguém obtiver um dos seus autenticadores e a sua palavra-passe principal, poderá ter as chaves da sua vida digital inteira ou, pelo menos, de tudo o que utiliza uma passkey. No entanto, isso deverá ser menos provável do que os ataques a servidores remotos.
Pubblicato in Guias e tutoriais
Seja o primeiro a comentar